Chống giả mạo email và BIMI (logo thương hiệu trong inbox)

Danh mục: Vào hộp thư · Nâng cao

Bạn đã xác thực SPF/DKIM/DMARC, đã làm nóng tài khoản gửi và giữ danh sách sạch. Bước nâng cao tiếp theo không chỉ là “vào được inbox” mà là bảo vệ chính thương hiệu của bạn: ngăn kẻ xấu mạo danh domain để lừa khách hàng, và biến mỗi email thành một điểm chạm nhận diện bằng logo thương hiệu hiển thị ngay trong hộp thư qua BIMI. Bài này dành cho người đã nắm cơ bản: chúng ta đi sâu vào cơ chế spoofing/phishing, vì sao p=reject là tấm khiên thật sự, BIMI là gì, đủ điều kiện thế nào (DMARC enforced + logo SVG đúng chuẩn + chứng chỉ VMC/CMC), lợi ích và lộ trình triển khai từng bước.

Giả mạo email hoạt động thế nào (spoofing & phishing)

Điểm yếu cốt lõi của email là dòng From: mà người nhận nhìn thấy không được xác thực mặc định. Bất kỳ ai cũng có thể soạn một email ghi người gửi là cskh@thuonghieucuaban.vn dù họ chẳng sở hữu domain đó — y như việc bạn tự ghi tên người gửi giả lên phong bì thư. Kẻ tấn công lợi dụng đúng kẽ hở này để mạo danh thương hiệu, gửi thư lừa khách hàng của bạn nhập mật khẩu, chuyển khoản, hoặc bấm vào link độc hại.

Cần phân biệt vài kiểu giả mạo thường gặp để biết lớp phòng thủ nào chặn được kiểu nào:

Bài này tập trung vào kiểu nguy hiểm và phổ biến nhất: spoofing đúng domain — đây đúng là thứ DMARC ở mức thực thi đánh sập. Hai kiểu còn lại cần thêm giám sát thương hiệu, và như sẽ thấy ở phần sau, BIMI giúp người dùng nhìn thấy đâu là thư chính chủ.

DMARC reject: tấm khiên bảo vệ thương hiệu

DMARC trả lời câu hỏi: “Nếu một email tự xưng là domain của tôi nhưng không vượt qua SPF/DKIM với đúng domain đó, thì mailbox phải làm gì?”. Khi bạn đặt chính sách p=reject, câu trả lời là: từ chối thẳng tại cổng, thư giả mạo không bao giờ tới được người nhận. Đó là khác biệt căn bản giữa ba mức:

• p=none — chỉ giám sát, thư giả vẫn lọt. Đây là giai đoạn thu thập báo cáo, không bảo vệ.
• p=quarantine — thư giả bị đẩy vào thư mục spam. Có bảo vệ một phần, nhưng người nhận vẫn có thể vô tình mở.
• p=reject — thư giả bị chặn hẳn. Đây là mức thực thi (enforced) thật sự, và cũng là điều kiện bắt buộc cho BIMI.

Một bản ghi DMARC ở mức reject, đặt tại host _dmarc.thuonghieucuaban.vn, trông như sau:

Hai khái niệm dễ vấp khi siết tới reject:

• Alignment (khớp domain): DMARC không chỉ cần SPF hoặc DKIM đạt, mà domain trong kết quả đó phải trùng với domain ở From:. Khi ở reject, mọi luồng gửi hợp lệ của bạn (chăm sóc qua Mailemdi, hoá đơn điện tử, thông báo nội bộ qua Google Workspace…) đều phải align — nếu sót một luồng, chính thư thật của bạn bị từ chối.
• Subdomain qua thẻ sp=: nếu chỉ gửi marketing từ một subdomain (ví dụ mail.thuonghieucuaban.vn), bạn có thể giữ domain gốc ở p=reject và dùng sp= để định chính sách riêng cho subdomain. Điều này giúp cô lập rủi ro deliverability của luồng marketing khỏi email công ty.

Vì sao reject lại là “bảo vệ thương hiệu” chứ không chỉ là “chống spam”? Vì nó dập tắt khả năng kẻ xấu dùng chính tên miền của bạn để lừa khách hàng. Một chiến dịch phishing mạo danh ngân hàng, sàn TMĐT hay thương hiệu của bạn không chỉ gây thiệt hại cho nạn nhân mà còn bào mòn niềm tin vào mọi email thật bạn gửi sau đó. DMARC reject cắt đứt vector tấn công đó ngay từ gốc.

BIMI là gì

BIMI (Brand Indicators for Message Identification) là một chuẩn cho phép logo thương hiệu của bạn hiển thị cạnh email trong hộp thư — chỗ thường là chữ cái viết tắt hay avatar chung. Khi đủ điều kiện, người nhận mở Gmail/Yahoo… sẽ thấy đúng logo của bạn bên cạnh tên người gửi, ở cả danh sách thư lẫn khi mở thư.

Về kỹ thuật, BIMI là một bản ghi TXT trong DNS, đặt tại host default._bimi.thuonghieucuaban.vn, trỏ tới file logo (và, thường là, một chứng chỉ xác thực). Bản ghi mẫu:

• v=BIMI1 — phiên bản BIMI.
• l= — đường dẫn HTTPS tới file logo SVG.
• a= — đường dẫn tới chứng chỉ (VMC/CMC). Nhiều mailbox lớn (như Gmail) coi thẻ này gần như bắt buộc để thực sự hiện logo.

Điểm cốt lõi để hiểu đúng vai trò BIMI: BIMI không phải là một lớp bảo mật mới. Nó dựa trên DMARC reject đã có. Bạn chứng minh “tôi đã bảo vệ domain nghiêm túc” bằng DMARC, và phần thưởng nhìn-thấy-được là logo trong inbox. Nói cách khác: BIMI biến công sức xác thực vô hình thành một dấu hiệu tin cậy hữu hình mà khách hàng nhìn thấy ngay.

Điều kiện để bật BIMI

BIMI có một loạt yêu cầu khá khắt khe — đó cũng là lý do logo trong inbox trở thành tín hiệu tin cậy. Cụ thể:

• 1. DMARC đã thực thi (enforced): chính sách phải là p=quarantine hoặc p=reject (Gmail thực tế kỳ vọng tiến tới reject), và không được dùng pct dưới 100%. Đây là cánh cửa đầu tiên: chưa enforced thì BIMI hoàn toàn không hoạt động.
• 2. Logo đúng định dạng: phải là SVG dạng “SVG Tiny PS” (Portable/Secure) — một tập con của SVG đã được tinh giản, không script, không liên kết ngoài. Logo nên là hình vuông, nền đặc, vì mailbox thường cắt thành hình tròn/bo góc.
• 3. Chứng chỉ VMC hoặc CMC: Verified Mark Certificate (gắn với nhãn hiệu đã đăng ký) hoặc Common Mark Certificate (cho logo chưa đăng ký nhãn hiệu nhưng đã dùng ổn định). Đây là bước tốn chi phí và thời gian nhất: bạn mua từ nhà phát hành (CA) được công nhận, họ thẩm định quyền sở hữu logo trước khi cấp.
• 4. Bản ghi DNS BIMI: publish bản ghi TXT tại default._bimi.domaincuaban.vn trỏ tới logo và chứng chỉ, host trên HTTPS.
• 5. Danh tiếng gửi tốt: một số mailbox còn ngầm yêu cầu domain có lịch sử gửi sạch, tỷ lệ spam thấp thì mới hiển thị logo — BIMI không “rửa” cho domain xấu.

Lợi ích khi hiển thị logo trong inbox

BIMI tốn công, nhưng đổi lại bạn nhận được những giá trị mà các kỹ thuật xác thực “vô hình” khác không mang lại:

• Nhận diện thương hiệu ngay tức thì: logo xuất hiện cạnh tên người gửi trong danh sách thư, giúp email của bạn nổi bật giữa hàng chục thư khác — một dạng “biển hiệu” ngay trong hộp thư.
• Tăng niềm tin, giảm nghi ngờ: người dùng được rèn để cảnh giác với email lừa đảo. Logo chính chủ là một tín hiệu trực quan rằng “đây là thật”, có thể giúp tăng khả năng họ mở thư.
• Phân biệt thật/giả: kẻ mạo danh display-name (dùng địa chỉ Gmail lạ nhưng đặt tên thương hiệu) sẽ không có logo BIMI — vì họ không qua nổi DMARC trên domain của bạn. Khoảng trống đó chính là dấu hiệu để người tinh ý nhận ra giả mạo.
• Khen thưởng cho việc làm đúng: BIMI là động lực rõ ràng để doanh nghiệp hoàn tất DMARC reject — và chính quá trình đó nâng deliverability lẫn an ninh thương hiệu của bạn.

Lộ trình triển khai từng bước

Gộp tất cả lại thành một lộ trình thực chiến, theo đúng thứ tự phụ thuộc:

• Bước 1 — Hoàn tất xác thực: SPF + DKIM cho mọi luồng gửi, rồi DMARC p=none để thu báo cáo (xem SPF, DKIM, DMARC toàn tập).
• Bước 2 — Siết DMARC tới enforced: khi báo cáo rua cho thấy mọi nguồn hợp lệ đều align, nâng lên quarantine rồi reject (bỏ pct).
• Bước 3 — Chuẩn bị logo: nhờ designer xuất logo thành SVG Tiny PS, hình vuông, nền đặc; host trên HTTPS thuộc domain của bạn.
• Bước 4 — Đăng ký nhãn hiệu (nếu chưa): với VMC, bạn cần nhãn hiệu đã được đăng ký — bắt đầu thủ tục này sớm vì nó mất thời gian.
• Bước 5 — Mua VMC/CMC: làm việc với một CA được công nhận; họ thẩm định và cấp file chứng chỉ .pem, host cùng chỗ với logo.
• Bước 6 — Publish bản ghi BIMI: thêm TXT v=BIMI1; l=…; a=… tại default._bimi.domaincuaban.vn.
• Bước 7 — Kiểm tra & chờ: gửi thử và xác minh; logo có thể mất ít thời gian xuất hiện vì mailbox còn đánh giá danh tiếng.

Cách kiểm tra đã đúng chưa

• Xác nhận DMARC enforced trước tiên: dò bản ghi _dmarc bằng nslookup -type=TXT _dmarc.domaincuaban.vn (Windows) hoặc dig TXT _dmarc.domaincuaban.vn (macOS/Linux), kiểm tra p= là quarantine/reject và không có pct < 100.
• Kiểm tra bản ghi BIMI & logo: tra TXT tại default._bimi.domaincuaban.vn, mở thử URL ở thẻ l= xem file SVG tải được không, và URL a= trỏ đúng chứng chỉ.
• Gửi thử tới Gmail: gửi một email từ domain đã cấu hình, mở trong Gmail và xem logo có hiện cạnh tên người gửi không. Bấm Hiển thị bản gốc (Show original) để xác nhận SPF: PASS, DKIM: PASS, DMARC: PASS.
• Tự dò DNS trong Mailemdi: vào Cài đặt → Xác thực domain, nhập domain và bấm Kiểm tra để xác nhận SPF/DKIM/DMARC đã đạt 3/3 — nền tảng bắt buộc của BIMI.
• Theo dõi báo cáo & danh tiếng: đọc báo cáo rua để chắc không còn nguồn gửi lạ, và theo dõi tỷ lệ spam qua công cụ postmaster của mailbox.

Làm việc này với Mailemdi

Mailemdi không cấp chứng chỉ VMC thay bạn (việc đó thuộc về CA), nhưng lo trọn phần nền tảng mà BIMI yêu cầu — vốn là phần khó nhất:

• Xác thực domain trực quan: trang Cài đặt → Xác thực domain dò DNS trực tiếp, hiển thị tiến độ x/3 và chỉ rõ bản ghi SPF/DKIM/DMARC nào còn thiếu — để bạn đạt nền DMARC enforced cần cho BIMI.
• Chặn gửi domain chưa xác thực: khi domain riêng thiếu SPF/DKIM, Mailemdi chặn ở bước gửi/lên lịch (lỗi 409) kèm lý do, tránh đốt uy tín — chính thứ mailbox xét trước khi cho hiện logo.
• Bảo vệ danh tiếng tự động: complaint/bounce từ SES (qua SNS) tự đẩy vào suppression list và cảnh báo reputation trên Tổng quan, giữ tỷ lệ spam thấp — điều kiện ngầm để BIMI hiển thị.
• Làm nóng tài khoản gửi: Mailemdi tự bật warmup cho tài khoản SES mới, xây danh tiếng dần để DMARC reject & BIMI phát huy hiệu quả.

Nếu bạn tích hợp Mailemdi vào hệ thống của mình qua API (mọi request dùng header X-API-Key, webhook đính kèm chữ ký HMAC để chống giả mạo nguồn), bạn có thể đồng bộ suppression và sự kiện gửi để giữ danh tiếng đồng nhất — chi tiết tại hướng dẫn Tích hợp API.

Câu hỏi nhanh thường gặp

Đặt vào bức tranh lớn về bảo vệ thương hiệu & deliverability

Chống giả mạo và BIMI là phần “ngọn” của một hệ thống có nhiều tầng. Để chúng phát huy, hãy chắc các nền tảng bên dưới đều vững:

• Xác thực domain — gốc rễ của mọi thứ: SPF, DKIM, DMARC toàn tập.
• Cho người ta thoát dễ để giảm complaint — bằng List-Unsubscribe và Feedback Loop.
• Làm nóng (warmup) tài khoản gửi mới: Làm nóng domain và IP.
• Nội dung sạch: rà tiêu đề/nội dung bằng công cụ Soát từ khoá spam và kiểm tra liên kết với công cụ Kiểm tra link.

Để hiểu cách Mailemdi giám sát bounce/complaint và bảo vệ uy tín gửi, đọc Vào hộp thư đến. Cần ý tưởng nội dung khởi đầu? Tham khảo thư viện mẫu email, hoặc xem cách chạy một chiến dịch hoàn chỉnh ở hướng dẫn Chiến dịch. Và quay lại trang Cẩm nang để đọc các bài nền tảng khác.